Menimbang benefit dan biaya sangatlah perlu. Suatu perusahaan perlu mengkuantifikasi terlebih dahulu biaya atas risiko reputasi, aset, informasi, dll. Manfaat ditimbang dengan mengidentifikasi bagian mana saja yang sensitif maupun strategik bagi perusahaan.
Manajer investasi IT akan mengalokasikan dananya dalam suatu proyek IT apabila nilai benefit yang diperoleh melebihi kos. Bahkan Model Gordon-Loeb menyarankan khusus untuk investasi cyber security, tidak boleh lebih dari 37% dari kos kerugian yang ditaksir. Kos kerugian taksiran ini mencakup kos yang timbul apabila cyber attack benar-benar terjadi (pencurian aset, tuntutan hukum, denda, dll).
Gordon-Loeb Model menawarkan cara penentuan tingkat optimal investasi untuk keamanan sistem informasi. Formula Gordon-Loeb ini mempertimbangkan nilai informasi serta kerentanan dari informasi yang dilindungi. Semakin rentan dan berharga suatu informasi, maka perusahaan diharapkan lebih fleksibel untuk mengalokasikan dananya pada bagian tersebut.
Dimana, kapan, apa, dan bagaimana suatu pencurian maupun cyber attack akan terjadi tidaklah pasti. Luasnya rentang, dan probabilitas keterjadian yang tidak jelas sering kali membuat sebagian perusahaan lalai.
Bukan bermaksud menakuti, hanya sekadar mengingatkan. Kasus Maersk, Equifax, serta kasus di Indonesia seperti kasus website Telkomnyet, Â pencurian tiket online, pencurian data emiten, dan masih banyak kasus lainya cukuplah sebagai pembelajaran.
Pengalaman pribadi memang guru yang paling berharga, namun sarat akan pengorbanan biaya dan waktu. Berguru dari pengalaman orang lain dirasa lebih hemat dan cepat.
Besarnya biaya pemeliharaan Sistem Informasi memang menjadi dilema, terlebih untuk UMKM, koperasi, serta startup (perusahaan baru yang berbasis digital). Sehingga apabila cyberattack terjadi, staf TI yang bertanggungjawab berdalih akibat kurangnya alokasi dana cybersecurity.
Kalau mau berhemat tidak harus semua, analisa dan berfokuslah!.
